Tenda AC6 命令注入漏洞 CVE-2026-8263 允许攻击者执行

执行摘要

Tenda AC6 路由器中存在一个命令注入漏洞，跟踪编号为 CVE-2026-8263，CVSS 评分为 5.8，允许未经身份验证的远程攻击者在受影响的设备上执行任意操作系统命令。这个漏洞存在于 httpd 组件中的 fromSetWirelessRepeat 函数，特别是在 /goform/WifiExtraSet 端点。根据研究员 yaoyue123 在 GitHub 上公开披露的信息，该漏洞可以通过操作 mac 或 ssid 参数来触发。公开发布了漏洞利用代码，研究员表示攻击可以在无需身份验证的情况下远程发起。截至本文撰写时，Tenda 尚未发布固件补丁。

技术分析

CVE-2026-8263 影响运行固件版本 15.03.06.49_multi_TDE01 的 Tenda AC6 路由器。易受攻击的端点 /goform/WifiExtraSet 处理 HTTP POST 请求以配置无线中继设置。fromSetWirelessRepeat 函数未能在将用户输入的 mac 和 ssid 参数纳入系统命令之前对它们进行清理。攻击者可以注入 shell 元字符（如分号、管道或反引号）来附加任意命令，这些命令以 httpd 进程的权限执行，通常是嵌入式基于 Linux 的路由器上的 root。

研究员的披露包括一个概念验证漏洞利用，展示了通过向路由器的管理界面发送精心制作的 HTTP 请求来远程执行命令。由于 httpd 服务在端口 80 上监听（如果启用 HTTPS，则可选地在端口 443 上），任何网络相邻或面向互联网的设备，只要可以访问 Web 管理界面，攻击面就会暴露。不需要身份验证即可访问 /goform/WifiExtraSet 端点，这使得它成为一个预身份验证漏洞。

CVSS 5.8 分数反映了中等至高严重性，因为攻击复杂度低（基于网络，无需权限），但影响范围有限 —— 向量是 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L，表明部分机密性、完整性和可用性的丧失。然而，在嵌入式路由器硬件上，命令注入通常会导致整个设备的妥协，包括凭证盗窃、流量拦截和用于僵尸网络招募。

公开漏洞利用的可用性显著提高了风险概况。截至 2026 年 5 月 11 日，Shodan 和 Censys 扫描可能索引了数千个暴露于互联网的带有易受攻击固件版本的 Tenda AC6 设备。研究员的 GitHub 存储库包含了完整的漏洞利用代码，可以轻易地适应大规模利用。

缓解措施与建议

Tenda 尚未为 AC6 发布修补固件版本。在更新可用之前，防御者和用户应采取以下步骤：

• 禁用 路由器 WAN 接口上的 远程管理。如果必须通过管理 Web 界面访问，则仅通过防火墙规则限制访问权限给可信的本地 IP 地址。
• 更改默认管理员凭证，如果尚未完成，尽管这并不能缓解预身份验证注入向量 —— 它限制了后利用横向移动。
• 监控 到 /goform/WifiExtraSet 的异常 HTTP 请求，这些请求在 mac 或 ssid 参数中包含 shell 元字符。网络入侵检测系统（例如，Suricata、Snort）可以配置自定义规则以标记此类模式。
• 考虑更换路由器，如果供应商在合理时间内没有发布补丁，因为设备将无限期地保持易受攻击状态。
• 将 IoT 设备 分段到具有限制互联网访问权限的单独 VLAN，以限制在妥协情况下的影响范围。